Haftung für Softwarefehler
Viren und andere Schadsoftware können auf vielen Wegen in ein System gelangen. Zum einen kommen Fehler der Nutzer – durch etwa fahrlässige Passwortkombinationen – infrage. Zum anderen stellen etwaige Fehler im Programmcode Einfallstore mit Angriffspotenzial dar. Insbesondere die letztere Kategorie wirft Fragen hinsichtlich der Haftung für Softwarefehler auf.
Haftung des Verkäufers?
In einem aktuellen Fall hat ein Verbraucherverband bei einem Elektronikmarkt Testkäufe durchgeführt. Die dabei erworbenen Smartphones prüfte das Bundesamt für Sicherheit in der Informationstechnik (BSI) anschließend auf Sicherheitslücken. Im Ergebnis stellte sich heraus, dass eines der Geräte 15 von 28 getesteten Sicherheitslücken aufwies. Bei einem anderen Gerät hingegen konnte nur eine Sicherheitslücke festgestellt werden. Überraschend war dabei, dass bei beiden Geräten nominell dieselbe – ältere – Version des Betriebssystems Android installiert war.
Hintergrund ist, dass das Betriebssystem vom jeweiligen Hersteller auf das jeweilige Smartphone-Modell angepasst wird und auch neue Versionen des Betriebssystems erst genutzt werden können, wenn die neue Version des Betriebssystems zuvor für das jeweilige Modell des Smartphones angepasst wurde.
Die daraufhin erhobene Unterlassungsklage wurde abgewiesen. Zur Begründung brachte das Gericht an, dass es für den beklagten Elektronikmarkt einen unzumutbaren Aufwand darstelle, sich die Informationen über Sicherheitslücken für jedes einzelne von ihr angebotene Smartphone-Modell zu verschaffen. Zwar seien die Information über Sicherheitslücken insoweit von hoher Bedeutung, als dass durch diese eine Verletzung der Privatsphäre ermöglicht werde. Allerdings müsse ebenfalls berücksichtigt werden, dass Lücken nur durch smartphonespezifische Tests festgestellt werden können. Diesen Tests stehe aber die Eigenschaft von Softwarefehlern entgegen, dass mögliche Fehler oftmals erst durch Angriffe Dritter offengelegt werden.
Aus diesen Gründen scheide eine Haftung des Elektronikmarkts aus.
Wer wird also in die Haftung für Softwarefehler genommen?
Für eine Haftung kommen zwei weitere Parteien infrage: Die Hacker und die Softwarehersteller.
Hacker
Selbstverständlich stellt das Verhalten der unmittelbaren Angreifer eine zivilrechtliche Haftungsbegründung dar und ist auch von strafrechtlicher Relevanz (§§ 202a ff, 303a f StGB). Diesen Ansprüchen kann man jedoch weitestgehend nur einen symbolischen Charakter beimessen. Denn die Angriffe sind meist professional verschleiert, sodass die Täter letztlich nur in seltenen Fällen gefasst werden können.
Haftungsrechtlich verlagert sich die Verantwortung deshalb auf die mittelbaren Verursacher oder sogar auf die Opfer (Stichwort Selbstschutz).
Softwarehersteller
Ein Programmcode, welcher sich jeglicher Fehler entbehrt, ist zumindest zurzeit eine Utopie. Deshalb rücken nachträgliche Sicherheitsupdates in den Fokus. Diese müssen herstellerseitig erfolgen. Schließlich verfügen nur die Hersteller über die Ressourcen und rechtlichen Möglichkeiten, Sicherheitslücken zu schließen.
Allein eine Warnung für die Nutzer gefährdeter Systeme dürfte unzureichend sein, da diese in den meisten Fällen nicht flächendeckend befolgt werden.
Insoweit trifft die Softwarehersteller die deliktische Verkehrspflicht, kurzfristig Sicherheitsupdates zur Verfügung zu stellen, soweit relevante Fehler zutage treten.